LottieFiles, npm paketinin belirli sürümlerinin, kullanıcıları kripto para birimi cüzdanlarını boşaltmak için bağlamaya yönlendiren kötü amaçlı kod taşıdığını duyurdu.
Garip kod enjeksiyonlarıyla ilgili çok sayıda kullanıcı raporunun ardından dün keşfedildiği üzere, etkilenen sürümler Lottie Web Player (“lottie-player”) 2.0.5, 2.0.6 ve 2.0.7’dir ve tümü dün yayınlandı.
LottieFiles, temiz 2.0.4’ü temel alan yeni bir sürüm olan 2.0.8’i hızlı bir şekilde yayınladı ve kullanıcılara mümkün olan en kısa sürede yükseltme yapmalarını tavsiye etti.
LottieFiles şöyle açıklıyor: “Kütüphaneyi sabitlenmiş bir sürümü olmayan üçüncü taraf CDN’ler aracılığıyla kullanan çok sayıda kullanıcıya, güvenliği ihlal edilmiş sürüm en son sürüm olarak otomatik olarak sunuldu.”
“Güvenli sürümün yayınlanmasıyla birlikte bu kullanıcılar düzeltmeyi otomatik olarak almış olacak.”
En son sürüme yükseltme yapamayanlar, riski Lottie oyuncusu son kullanıcılarına bildirmeli ve onları sahte kripto para birimi cüzdanı bağlantı istekleri konusunda uyarmalıdır. 2.0.4 sürümünde kalmak da bir seçenektir.
LottieFiles, uygulamalara ve web sitelerine yerleştirilebilen hafif vektör tabanlı (ölçeklenebilir) animasyonlar oluşturmaya ve paylaşmaya yönelik bir hizmet olarak yazılım (SaaS) platformudur.
Daha az güçlü cihazlarda, mobil ve web uygulamalarında minimum performans etkisi ile yüksek kaliteli görsellere izin vermesi nedeniyle popülerdir.
Bugünün erken saatlerinde LottieFiles, tedarik zinciri uzlaşmasıyla ilgili bir duyuru yayınladı ve bunun SaaS hizmetlerini değil yalnızca npm paketini etkilediğini belirtti.
Görünüşe göre, Lottie Web Player’ın kötü amaçlı bir sürümünü içeren uygulamalar ve siteler, kullanıcılara cüzdan bağlantı istemleri sunuyor ve bu da tehdit aktörlerinin dijital varlıkları kontrolleri altındaki cüzdanlara aktarmalarına olanak tanıyor.
Kaynak: GitHub
Npm paketinin tahrif edilmiş sürümlerini yüklemek için kullanılan geliştirici hesabının tüm erişimi kaldırıldı ve kötü amaçlı etkinliği engellemek için ilgili belirteçler iptal edildi.
LottieFiles, “Diğer açık kaynak kütüphanelerimizin, açık kaynak kodlarımızın, Github depolarımızın ve SaaS’ımızın etkilenmediğini doğruladık” diye güvence veriyor.
Platform, dış uzmanların yardımıyla uzlaşmaya ilişkin dahili araştırmasını sürdürüyor ve gelecekte olayla ilgili daha fazla ayrıntı açıklanabilir.
Bu planın kurbanı olup olmadığı, sahte kripto para cüzdanı bağlantılarından kaç kişinin ve ne kadar paranın kaybolduğu bilinmiyor.